Neuer Sicherheitsfonds stärkt den Schutz des Fediverse

MÜNCHEN (IT BOLTWISE) – Die Sicherheit im Fediverse, dem offenen sozialen Netzwerk, das Plattformen wie Mastodon und Pixelfed umfasst, wird durch einen neuen Sicherheitsfonds gestärkt. Dieser Fonds, initiiert von der Nivenly Foundation, zielt darauf ab, Sicherheitslücken zu identifizieren und zu beheben.

Die Nivenly Foundation, eine gemeinnützige Organisation, die sich auf die Governance von Open-Source-Projekten konzentriert, hat einen neuen Sicherheitsfonds ins Leben gerufen. Dieser Fonds soll Personen belohnen, die Sicherheitslücken in Fediverse-Anwendungen und -Diensten verantwortungsvoll melden. Das Fediverse, zu dem Plattformen wie Mastodon und Pixelfed gehören, ist ein offenes soziales Netzwerk, das zunehmend an Bedeutung gewinnt.

Obwohl alle Software Sicherheitsprobleme aufweisen kann, hat Mastodon, eine dezentrale Alternative zu X, im Laufe der Jahre zahlreiche Fehler behoben. Dies unterstreicht die Notwendigkeit eines solchen Programms. Ein weiteres Problem im Fediverse besteht darin, dass viele Server von unabhängigen Betreibern betrieben werden, die möglicherweise nicht über das notwendige Sicherheitswissen verfügen.

Die Nivenly Foundation hat bereits einigen Fediverse-Projekten geholfen, grundlegende Prozesse zur Meldung von Sicherheitslücken einzurichten. Nun plant sie, kleine Auszahlungen an diejenigen zu leisten, die weitere Sicherheitslücken verantwortungsvoll melden. Die Auszahlungen betragen 250 US-Dollar für Sicherheitslücken mit einem CVSS-Wert von 7,0-8,9 und 500 US-Dollar für kritischere Lücken mit einem CVSS-Wert von 9,0 oder höher.

Die Mittel für diese Auszahlungen stammen von der Stiftung selbst, die direkt von Mitgliedern unterstützt wird, darunter Einzelpersonen und andere Handelsorganisationen. Die gemeldeten Sicherheitslücken werden von den Projektleitern des Fediverse sowie durch öffentliche Aufzeichnungen in CVE-Datenbanken validiert.

Der Fonds befindet sich derzeit in einer begrenzten Testphase, nachdem eine Sicherheitslücke in der dezentralen Instagram-Alternative Pixelfed entdeckt wurde. Die Open-Source-Beitragende Emelia Smith stieß auf das Problem, und die Nivenly Foundation bezahlte sie für die Behebung.

Ein jüngeres Problem trat auf, als der Ersteller von Pixelfed, Daniel Supernault, die Details einer Sicherheitslücke öffentlich machte, bevor Serverbetreiber die Möglichkeit hatten, ein Update durchzuführen. Dies hätte das Fediverse anfällig für Angriffe machen können. Supernault hat sich bereits öffentlich für sein Vorgehen entschuldigt.

Teil des Programms ist auch die Schulung von Projektleitern, um ihnen die Bedeutung verantwortungsvoller Offenlegungspraktiken für Sicherheitslücken zu verdeutlichen. Smith erklärte, dass einige Projekte einfach sagten, man solle Sicherheitslücken im öffentlichen Issue-Tracker melden, was absolut unsicher sei.

Normalerweise besteht die gängige Praxis darin, minimale Informationen über eine Sicherheitslücke offenzulegen, um Serverbetreibern Zeit für ein Upgrade zu geben. Dies erfordert jedoch, dass die Projektleiter die besten Sicherheitspraktiken verstehen. Im Fall des Pixelfed-Problems entschied sich der Hachyderm Mastodon-Server, sich von anderen Pixelfed-Servern zu trennen, die nicht aktualisiert worden waren, um ihre Benutzer zu schützen.

Mit diesem neuen Programm, das darauf abzielt, die besten Praktiken bei der Offenlegung von Sicherheitslücken zu befolgen, könnte die Notwendigkeit, sich zu trennen, um Benutzer zu schützen, seltener werden.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!

Angebot

1.982 Bewertungen

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

• NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.

169,00 EUR

Bei Amazon kaufen